Smartphones: Gravierende Sicherheitsmängel bei WhatsApp

Das Online-Programm WhatsApp, das vielen Smartphone-Nutzern als kostenloser SMS-Ersatz dient, weist erhebliche Sicherheitslücken auf. Wie ein von heise security am 14. September 2012 veröffentlichter Test ergab, riskierten Nutzer des Programms in einem öffentlichen W-Lan-Netz, „dass Datenschnüffler den Account zum Senden und Empfangen von Nachrichten missbrauchen“. Sei der Account einmal geknackt, könne man ihn nicht mehr absichern und  „der Schnüffler“ ihn beliebig nutzen. Die Möglichkeit dazu bestünde sowohl bei iPhones als auch bei Android-Handys. Voraussetzung sei, bei iOS-Geräten deren MAC-Adresse herauszufinden und bei Android-Handys deren Seriennummer (IMEI, da aus diesen Daten das Anmeldepasswort für den WhatsApp-Server automatisch erzeugt wird. Nach Angaben von heise security sei das jedoch nicht schwer. So würde die IMEI oft auf der Rückseite des Handys angegeben. Die MAC-Adresse könne in einem öffentlichen W-Lan-Netz wie zum Beispiel in im Lieblings-Café leicht mitgelesen werden. IMEIs ließen sich in jedem Fall herausfinden, wenn man das betreffende Gerät einmal entsperrt in die Hand bekommt. Ergebnis der heise-security-Tester: „"Wir mussten lediglich Rufnummer und MAC-Adresse bzw. IMEI in ein mitgeliefertes Skript eintragen und konnten anschließend über die Eingabeaufforderung beliebige Nachrichten in dessen Namen verschicken. Absender war stets die Rufnummer des kompromittierten Accounts." Die Tester: „Die verschickten Nachrichten tauchten nicht auf dem Smartphone des Account-Besitzers auf. Auch die eingehenden Antworten empfängt er nicht, solange das Skript läuft.“